비밀번호를 입력한 후 스마트폰에 남아있는 손끝의 열을 통해 암호를 해독할 수 있다는 연구결과가 나왔다.
영국 글래스고대 모하메드 카미스 교수 연구진은 “키보드와 스마트폰 화면에 남아 있는 열 흔적을 분석해 몇초 만에 비밀번호를 추측할 수 있는 시스템을 개발했다”라고 10일(현지 시각) 밝혔다. 연구결과는 국제학술지 ‘ACM 트랜잭션 온 파르이버스&시큐리티’에 발표됐다. 카미스 교수는 “도둑을 잡으려면 도둑처럼 생각해야 한다”며 “열화상을 악용해 컴퓨터와 스마트폰에 침입할 수 있는 방법에 대해 신중하게 생각해봐야 한다”고 말했다.
연구진은 열화상 사진을 분석하는 인공지능(AI) 시스템 ‘써모시큐어(ThermoSecure)’를 개발했다. 열화상 사진은 사람이 만진 부위에 더 많은 열이 남아있어 밝은 빛으로 표시된다. 즉 열의 강도를 측정해서 비밀번호를 구성하는 특정 문자와 숫자, 기호를 알아내고 이를 통해 순서를 조합하는 것이다. 연구진은 “표면을 만진 후 30~60초 사이에 촬영한 열화상 사진을 주의 깊게 살펴보는 것만으로도 암호를 알아낼 수 있음을 보여줬다”라고 했다.
연구진은 사용자들의 키보드 열화상 사진 1500장을 다양한 각도에서 촬영해 분석했다. 그 결과 써모시큐어로 20초 이내 열화상 사진을 촬영할 때 암호의 86%, 30초 이내에는 76%, 60초 후에는 62%의 확률로 암호를 뚫을 수 있는 것으로 나타났다.
비밀번호가 짧을수록 해킹하기 더 쉬웠다. 20초 이내에 찍은 사진을 분석한 결과, 16자리의 비밀번호의 경우 67%를 해독할 수 있었다. 12자 암호는 82%, 9자 암호는 93%, 6자 암호는 100%로 해킹이 가능했다. ATM이나 은행계좌에 사용하는 짧은 비밀번호일수록 더 취약하다는 의미다.
사용자들의 타이핑 습관도 암호 해독에 영향을 줬다. 키보드를 만진 후 30초 후의 사진을 촬영한 결과, 천천히 타이핑하는 사람들은(92%) 빠르게 타이핑하는 사람들(80%)보다 더 취약했다. 키보드에 손을 오래 둘수록 열이 더 오래가기 때문이다. 또 키보드의 소재에 따라서 암호 해독률에 차이가 있었다.
연구진은 해커들이 이 같은 수법을 얼마든지 쓸 수 있다고 경고했다. 열화상 카메라는 한 대에 220달러(약 30만원) 미만으로 저렴하며 인공지능도 점점 더 쉽게 사용할 수 있기 때문이다. 연구진은 이런 문제를 해결할 수 있는 AI도 개발 중이다. 카미스 교수는 “암호가 길수록 시스템이 정확하게 추측하기 어렵기 때문에 가능한 한 긴 암호를 사용하는 것이 좋다”며 “지문이나 얼굴 인식 같은 대체 인증방법은 더 안전할 것”이라고 밝혔다.